Ubuntu Firewall Howto

Introduktion

Ubuntu er et Linux-operativsystem, der er ret populært blandt serveradministratorer på grund af avancerede funktioner, der leveres som standard. En sådan funktion er firewall, som er et sikkerhedssystem, der overvåger både indgående og udgående netværksforbindelser for at træffe beslutninger afhængigt af de foruddefinerede sikkerhedsregler. For at definere sådanne regler skal firewallen konfigureres, inden den bruges, og denne vejledning demonstrerer, hvordan man let aktiverer og konfigurerer firewallen i Ubuntu sammen med andre nyttige tip til konfiguration af firewall.

Sådan aktiveres Firewall

Som standard leveres Ubuntu med en firewall, kendt som UFW (ukompliceret firewall), hvilket er tilstrækkeligt sammen med nogle andre tredjepartspakker til at sikre serveren mod eksterne trusler. Men da firewallen ikke er aktiveret, skal den aktiveres inden noget. Brug følgende kommando til at aktivere standard UFW i Ubuntu.

1. Først og fremmest skal du kontrollere firewallens aktuelle status for at sikre, at den virkelig er deaktiveret. For at få detaljeret status skal du bruge den sammen med den detaljerede kommando.
   sudo ufw status
   sudo ufw status detaljeret

2. Hvis den er deaktiveret, aktiveres den følgende kommando
   sudo ufw aktivere

3. Når firewallen er aktiveret, skal du genstarte systemet for at ændringer kan træde i kraft. Parameteren r bruges til at angive kommandoen til genstart, parameteren nu er til at angive genstart skal foretages med det samme uden forsinkelse.
   sudo nedlukning -r nu

Bloker alt trafik med firewall

UFW, som standard blokerer / tillader al trafik, medmindre den tilsidesættes med specifikke porte. Som det ses i ovenstående skærmbilleder blokerer ufw al indgående trafik og tillader al udgående trafik. Men med følgende kommandoer kan al trafik deaktiveres uden undtagelser. Hvad dette rydder alle UFW-konfigurationer og nægter adgang fra enhver forbindelse.

          sudo ufw nulstilles

          sudo ufw standard nægter indgående

          sudo ufw standard nægter udgående

Sådan aktiveres port til HTTP?

HTTP står for hypertekstoverførselsprotokol, som definerer, hvordan en besked formateres, når den transmitteres over ethvert netværk, såsom verdensomspændende net aka Internet. Da en webbrowser som standard opretter forbindelse til webserveren via HTTP-protokol for at interagere med indholdet, skal den port, der tilhører HTTP, være aktiveret. Hvis webserveren bruger SSL / TLS (sikret sokkellag / transportlagsikkerhed), skal HTTPS også tillades.

          sudo ufw tillad http

          sudo ufw tillader https

Sådan aktiveres port til SSH?

SSH står for sikker shell, som bruges til at oprette forbindelse til et system via et netværk, typisk over internettet; derfor er det meget brugt til at oprette forbindelse til servere over internettet fra den lokale maskine. Da Ubuntu som standard blokerer alle indgående forbindelser, inklusive SSH, skal det aktiveres for at få adgang til serveren via internettet.

          sudo ufw tillader ssh

Hvis SSH er konfigureret til at bruge en anden port, skal portnummeret angives eksplicit i stedet for profilnavnet.

          sudo ufw tillad 1024

Sådan aktiveres port til TCP / UDP

TCP, alias transmissionskontrolprotokol, definerer hvordan man opretter og vedligeholder en netværkssamtale for at applikationen kan udveksle data. Som standard bruger en webserver TCP-protokol; derfor skal den aktiveres, men heldigvis aktiverer en port også porten for både TCP / UDP på ​​én gang. Men hvis den bestemte port kun er beregnet til at muliggøre TCP eller UDP, skal protokollen specificeres sammen med portnummeret / profilnavnet.

          sudo ufw tillad | nægt portnummer | profilnavn / tcp / udp

          sudo ufw tillader 21 / tcp

          sudo ufw benægte 21 / udp

Sådan deaktiveres Firewall helt?

Nogle gange skal standard firewall deaktiveres for at teste netværket, eller når en anden firewall er beregnet til installation. Den følgende kommando deaktiverer firewallen fuldstændigt og tillader alle indgående og udgående forbindelser ubetinget. Dette tilrådes ikke, medmindre ovennævnte hensigter er årsagerne til deaktivering. Deaktivering af firewall nulstilles eller slettes ikke dens konfigurationer; derfor kan den igen aktiveres med tidligere indstillinger.

          sudo ufw deaktiver

Aktivér standardpolitikker

Standardpolitikker angiver, hvordan en firewall reagerer på en forbindelse, når ingen regel matcher den, for eksempel hvis firewallen tillader alle indgående forbindelser som standard, men hvis portnummer 25 er blokeret for indgående forbindelser, fungerer resten af ​​portene stadig for indgående forbindelser undtagen portnummer 25, da det tilsidesætter standardforbindelsen. Følgende kommandoer nægter indgående forbindelser og tillader udgående forbindelser som standard.

          sudo ufw standard nægter indgående

          sudo ufw standard tillader udgående

Aktivér specifikt portområde

Portområde specificerer, hvilke porte firewallreglen gælder. Området er angivet i startPort: endPort format, efterfølges det derefter af forbindelsesprotokollen, som er forpligtet til at angive i dette tilfælde.

          sudo ufw tillader 6000: 6010 / tcp

          sudo ufw tillader 6000: 6010 / udp

Tillad / nægt specifik IP-adresse / adresser

Ikke kun en bestemt port kan tillades eller nægtes for enten udgående eller indgående, men også en IP-adresse. Når IP-adressen er angivet i reglen, udsættes enhver anmodning fra denne bestemte IP for netop specificeret regel, for eksempel i den følgende kommando tillader den alle anmodninger fra 67.205.171.204 IP-adresse, så tillader det alle anmodninger fra 67.205.171.204 til både port 80 og 443 porte, hvad dette betyder er, at enhver enhed med denne IP kan sende vellykkede anmodninger til serveren uden at blive afvist i et tilfælde, hvor standardreglen blokerer for alle indgående forbindelser. Dette er ret nyttigt for private servere, der bruges af en enkelt person eller et specifikt netværk.

          sudo ufw tillader fra 67.205.171.204

          sudo ufw tillader fra 67.205.171.204 til enhver port 80

          sudo ufw tillader fra 67.205.171.204 til enhver port 443

Aktivér logning

Logfunktionalitet logger de tekniske detaljer for hver anmodning til og fra serveren. Dette er nyttigt til fejlfindingsformål; derfor anbefales det at tænde den.

          sudo ufw logger på

Tillad / nægt specifikt undernet

Når en række IP-adresser er involveret, er det vanskeligt manuelt at tilføje hver IP-adressepost til en firewallregel for enten at afvise eller tillade, og IP-adresseområder kan således specificeres i CIDR-notation, som typisk består af IP-adressen og mængden af værter den indeholder og IP for hver vært.

I det følgende eksempel bruger den følgende to kommandoer. I det første eksempel bruger den / 24 netmask, og dermed reglen gyldig fra 192.168.1.1 til 192.168.1.254 IP-adresser. I det andet eksempel gælder den samme regel kun for portnummer 25. Så hvis indgående anmodninger blokeres som standard, har de nævnte IP-adresser nu lov til at sende anmodninger til port nummer 25 på serveren.

           sudo ufw tillader fra 192.168.1.1/24

           sudo ufw tillader fra 192.168.1.1/24 til enhver port 25

Slet en regel fra Firewall

Regler kan fjernes fra firewallen. Følgende første kommando stiller hver regel i firewallen op med et nummer, så med den anden kommando kan reglen slettes ved at angive nummeret, der hører til reglen.

          sudo ufw status nummereret

          sudo ufw slet 2

Nulstil Firewall-konfiguration

Endelig, for at starte forfra firewallkonfigurationen, skal du bruge følgende kommando. Dette er ret nyttigt, hvis firewall begynder at virke underligt, eller hvis firewall opfører sig uventet.

          sudo ufw nulstilles